ポリシー継承

基本的なポリシー機能は、IAMでの継承の概念です。

コンパートメントは、親コンパートメントからすべてのポリシーを継承します。例として、テナンシに自動的に付属する管理者グループがあります(管理者ロールの理解を参照)。

次に、管理者グループ(デフォルト・アイデンティティ・ドメイン内)がテナンシ内のすべてを実行できるようにする組込みポリシーを示します:

Allow group Administrators to manage all-resources in tenancy

ポリシー継承のため、管理者グループはテナンシのどのコンパートメントでもすべての操作を実行できます。

たとえば、3つのレベルのコンパートメント(CompartmentA、CompartmentBおよびCompartmentC)を持つテナンシを考えてみます。

CompartmentAのリソースに適用されるポリシーは、CompartmentBおよびCompartmentCのリソースにも適用されます。

次の例では、グループNetworkAdmins (デフォルト・アイデンティティ・ドメイン内)でCompartmentAのVCNsを管理できます。これは、CompartmentBおよびCompartmentCのVCNsを管理できることも意味します。

Allow group default/NetworkAdmins to manage virtual-network-family in compartment CompartmentA